Slackチャットはプライベートですか?

Slackとは?

Slackはクラウドベースのチームコラボレーションツールであり、毎日600万人が使用しています。主に、Skypeに似たインスタントメッセージングプラットフォームです。他のチームメンバーと非公開で会話したり、他のチームメンバーとより多くのオープングループ「チャンネル」を作成して参加することができます。ファイル共有、画面共有、音声/ビデオ通話機能が組み込まれています.


Slackの会話はプライベートです?

これは複雑な質問です。以下の情報のほとんどすべては、単にSlackが共有することを選択したものから収集されていることに注意してください。.

データは転送中および保管時に暗号化され、Slackは現在、保健および金融サービス業界でそれぞれ必要なHIPAAおよびFINRAデータ保護標準をサポートしています.

ただし、Slackは、エンドツーエンド暗号化またはゼロ知識暗号化を考慮して構築されていません。データは保存時に暗号化されますが、Slackは暗号化キーを保持しているため、アクセスできます。 Slackは独自のクラウドソース製品でもあるため、ソフトウェアが実際に行っていることを独立して監査する方法はありません。.

それはつまり、データで何をするのかをSlackの言葉で伝える必要があるということです。.

上司は私のメッセージを読むことができますか?

これはおそらくほとんどの従業員の最も差し迫った質問です!そして答えは...多分。まず、すべての管理者は、公開チャンネルのすべての会話の「標準エクスポート」をダウンロードできます。これはおそらく予想されることですが、他のチームメンバーとのプライベートダイレクトメッセージ(DM)の会話についてはどうでしょうか?

まあ、それはすべて上司が設定した設定に依存します。調べるには:

  1. Slackでプロファイルに移動します -> プロフィールとアカウント -> アカウント設定 -> ワークスペース設定.

または、ブラウザでteamname.slack.com/account/teamにアクセスするだけです.

  1. コンプライアンスエクスポートまでスクロールします.

幸いなことに、上司はプライベートメッセージを読むことができません。ふう!

コンプライアンスエクスポートが有効になっている場合、スラックアカウントの主所有者(上司)は、すべてのプライベートな会話を含むzipファイルをダウンロードできます。このオプションはデフォルトでは有効になっておらず、Slack Plusプランにサインアップしたボスのみが利用できることに注意してください。.

それでも、彼らはSlackによって承認されなければならないアプリケーションを提出しなければなりません。ただし、この承認を許可するために満たす必要がある基準に関する情報はありません。.

幸いなことに、コンプライアンスエクスポートがまだ有効になっていない場合、上司は知らないうちにこっそり有効にすることはできません。*以前にオフにしたときにコンプライアンスエクスポート機能をオンにすると、Slackbot通知を受け取ります。上司は、コンプライアンスエクスポートが有効になる前に送信されたメッセージにアクセスできなくなります.

* 2018年3月更新:ポリシーの変更は、限られた状況下で、無料または標準プランを使用している場合でも、上司がプライベートDMにアクセスできることを意味します.

Slackのスタッフは私のメッセージを読むことができますか?

プライバシーポリシーとセキュリティプラクティスのページが長くなっていますが、Slackのスタッフメンバーが表示できるデータと表示できるデータは、泥だらけのままです。 Slackは、私が期待することをGizmodoにほとんど伝えました。従業員はあなたのメッセージにアクセスでき、緊急時またはその他の「正当で正当な理由」でアクセスできます。

ただし、ユーザーのデータへの「永続的なアクセス」(無制限のアクセス)を持つ従業員はいません。 SlackセキュリティチーフのGeoff Belknapは、Gizmodoに次のことも保証しました。

「これは非常に少数であり、データにアクセスできる可能性のある場所に配置するプロセスに従う能力として私が言いたいことを言います。

不正アクセスについて?

Slackは、ユーザーのデータへの不正なアクセスが試みられた場合にアラームがトリガーされる一連のプロトコルを備えていると主張しています。 Belknapは、従業員が特定の会話にアクセスできるようにする「意図的なツールは構築されていない」とも述べています。しかし、彼は必要に応じてそのようなツールを構築できることを認めました.

電子フロンティア財団(EFF)の上級スタッフ弁護士であるネイト・カルドゾは次のように述べています。

「Slackは、社内の誰もユーザーデータにアクセスできない方法でこのシステムを構築できたはずです。結局のところ、「私たちを信頼してください」ということです。それは、Uberが言ったのと同じことであり、その後、彼らは神モードでパンツをはめられました。メールに入れない場合はSlackに入れないでください。」

警察は私のメッセージを読むことができますか?

Slackは米国の会社であるため、米国の法執行機関による有効な情報要求に準拠する必要があります。 Slackは、このような要求への準拠には「管轄権のある裁判所が発行した捜査令状が必要です」と述べています。

2017年5月1日から10月31日までに受け取ったすべてのリクエストを対象とする独自の透明性レポートによると、「コンテンツデータ」が公開されたリクエストは1つだけでした。コンテンツデータには、パブリックおよびプライベートメッセージ、投稿、ファイル、DMなどのユーザー生成データが含まれます.

スラック3

レポートでは、この期間中にSlackが国家安全保障通知(NSL)を受け取っていなかったと述べていますが、NSLには通常ギャグ命令が伴うことに注意してください。これにより、SlackがNSLを受け取ったという事実を開示できなくなります。.

Slackがデータを警察に引き渡す場合、通常は状況を通知します。もちろん、これが法的に禁止されている場合は適用されません。さらに心配なことに、Slackは違法行為を行っている人や、「人や財産に危害を加えるリスクがある」と思われる人には通知しません。

ただし、訴訟が裁判所に提起されるまで、顧客が違法行為に関与したかどうかは誰の判断になりますか?

ハッカーは私のメッセージを読むことができますか?

理論的には、ありません。前述のように、メッセージは送信中と保存中の両方で暗号化されます。実際には、Slackはまだ重大なデータ侵害を受けていません。しかしながら:

  • 2014年、セキュリティ研究者のTanay SaiがSlackソフトウェアのバグを発見しました。これにより、だれでもその会社の偽のメールアドレスを入力するだけで、社内のSlackチームを見ることができました。.
  • 2015年、Slackはユーザーのアカウントの詳細とパスワードにハッカーがアクセスできる4日間のセキュリティ侵害を受けました。幸いなことに、このデータはbcryptパスワードハッシュ関数を使用してハッシュされていました。これにより、ハッカーがハッシュ化されたパスワードをプレーンテキストのパスワードに大量に変換できる可能性は非常に低くなります(不可能な点まで)。ただし、個々のパスワードハッシュを解読することはまだ可能かもしれません。この事件に続いて、Slackはアカウントに(オプションの)2要素認証(2FA)を提供し始めました.
  • 2017年、Slackはハッカーが正当なユーザーであるかのようにSlackにログインできるセキュリティ脆弱性の発見を開示しました。その後、グループのチャット履歴、チャンネル、共有ファイルへの完全なアクセス権が与えられます。脆弱性は、悪意のある攻撃者によって発見され、悪用される前にパッチが適用されたと考えられています.

広告主は私のメッセージを読むことができますか?

ここで良いニュース–いいえ。 Slackにはサブスクリプションベースのビジネスモデルがあり、広告収入はありません。 Slackは、将来この状況が変わる計画はないと述べているだけでなく、ビジネス上の意味もほとんどありません。.

人々は、余暇の間に無料のサービスと引き換えに広告や他のプライバシー侵害に耐えることをいとわないかもしれません(あなた、Facebook、Googleを見てください!)。ただし、生産性に悪影響を与えるため、作業中にこれを受け入れる可能性は低い.

結論

Slackは強力なプライバシーのために設計されていません。コンプライアンスエクスポートが有効になっていない場合、DMチャットは上司からは安全ですが、それ以外の場合はすべてのベットがオフになります。一般に、メールで送信するときと同じようにSlackを考えるのがおそらく最善です。人前で言うのが安全でない場合は、Slackでそれを言わないでください。.

GizmodoのMelanie Ehrenkranzに感謝します。.

画像著作権:Giorgio Minguzzi /flickr.com/Some rights reserved.
Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me